IPsec zu FritzBox seit 23.1 Update nicht mehr vollständig funktional

[atom]

Funktioniert denn der Tunnel, wenn Du den FQDN durch Deine aktuelle IP-Adresse ersetzt ?

[groove21]

Beim "Fernen Gateway" oder bei "Meine Kennung"?

Ich habe bei beiden jeweils den DYNDNS-Namen drin stehen, was bisher problemlos funktioniert.

Außerdem habe ich in der Fritz-Config den DYNDNS-Namen auch bei localid drin stehen. Was soll ich da dann reinschreiben?

[atom]

Mache es doch mal testhalber erst auf einer Seite und versuche den Tunnel von der einen oder anderen Seite zu initiieren und dann auf beiden Seiten.  Ich habe etwas ähnliches festgestellt und dafür ein Ticket aufgemacht.
Vielleicht handelt es sich ja um dasselbe Problem.

https://github.com/opnsense/core/issues/6313

[groove21]

Hallo,

sorry die letzten Tage war etwas Land unter, daher komme ich erst jetzt dazu. Eine Frage: Du schreibst in dem verlinkten Ticket folgendes: Maybe it would fix the problem if I could maintain the fields "remote addresses"/"local addresses" and change the entry to "fqdn:host.example.org" , as it works for the automatically migrated tunnels.

Hierzu hätte ich 2 Fragen:
Erledigt sich das Problem, wenn ich die Verbindungen zu strongswan migriere?
Wie kann man diese automatische Migration zu strongswan anstoßen?

Da stehe ich gerade auf dem Schlauch, gerade was den letzten Punkt angeht.

Wenn diese automatische Migration das Problem (vorübergehend) löst, bis ein Fix für neue Strongswan-Connections da ist, wäre das ja auch eine Option (ich muss aktuell keine neuen Verbindungen anlegen, daher wäre eine Migration der bestehenden Verbindungen erst mal ok).

Gruß
groove21

[atom]

Hallo,

mit dem Upgrade auf 23.1 wurde die Konfiguration automatisch von ipsec.conf zu swanctl.conf migriert.
Es scheint nun Probleme mit FQDN-Einträgen zu geben. Ich kann aber nicht sagen, wo das Problem genau liegt ( vielleicht Namensauflösung bei Strongswan ? ). Ich habe bei mir nun IP-Adressen eingetragen und ziehe - als Workaround - diese bei IP-Adressänderungen manuell nach, damit die Tunnel wieder funktionieren

Viele Grüße,
atom

[groove21]

Ok aber die Migration auf swanctl hat dann nicht zur Folge dass die Verbindungen unter dem neuen Menupunkt neu angelegt werden, habe ich das richtig verstanden?
Gibt es auch Probleme wenn man die Connection unter dem neuen Menupunkt neu anlegt oder geht dies auch nicht?

@franco
Wird an dem Problem aus dem Ticket bzgl. FQDN aktiv gearbeitet? Bin am überlegen ob ich mit dem Update dann noch so lange warte.

[atom]

Es gibt aus meiner Sicht im Moment mehrere Probleme mit IPsec unter 23.1 und "Connections[new]". Die Phase1 und Phase2 Timeout-Werte für IKEv1- und IKEv2-Tunnel werden aus den GUI-Einstellungen nicht übernommen, so dass hier die Tunnel nur mit den Standard-Werten von stringswan laufen. https://github.com/opnsense/core/issues/6370
Ich habe auch noch keine Möglichkeit gesehen manuelle SPD-Einträge zu pflegen. Insofern habe ich nur ein paar Test-Systeme auf 23.1 und "Connections[new]" migriert und warte mit meinen produktiven Systemen darauf, dass die Fehler behoben werden.

[schnipp]

@groove21:
Läuft es mittlerweile? Falls nicht, kann ich die kommenden Tage mal meine Konfig posten.

[groove21]

Hallo Schnipp,

funktioniert dein Setup jeweils mit DynDNS auf der dezentralen Seite?
Nutzt du die alte oder neue GUI. Wenn du DynDNS zum Laufen bekommen hast (egal mit alt oder neu), dann gerne deine Config mal teilen :)

Danke!

Gruß

[schnipp]

funktioniert dein Setup jeweils mit DynDNS auf der dezentralen Seite?

Sofern Du mit dezentraler Seite die Fritzbox meinst: Ja. Wobei zu berücksichtigen ist, dass in der folgenden Konfiguration ausschließlich die Opnsense die IPsec-Verbindung zur Fritzbox aufbaut. Das ist so gewollt, und daher ist der Parameter "remoteip" in der VPN-Konfiguration der Fritzbox "0.0.0.0"

Nutzt du die alte oder neue GUI. Wenn du DynDNS zum Laufen bekommen hast (egal mit alt oder neu), dann gerne deine Config mal teilen :)

Ich habe alle meine IPsec-Konfigurationen mittlerweile auf die neue GUI (neues Strongswan Interface) umgestellt.

VPN-Konfiguration der Fritzbox (in diesem Fall 7490 mit Firmware 7.29)

Code Select Expand


vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "<User defined name in Fritzbox>";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                localid {
                        fqdn = "<local id>";
                }
                remoteid {
                        fqdn = "<remote id>";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "dh15/aes/sha";
                keytype = connkeytype_pre_shared;
                key = "***************************************************************";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                //Fritzbox
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                //OpnSense
                                ipaddr = 10.0.0.0;
                                mask = 255.0.0.0;
                        }
                }
                phase2ss = "esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs";
                accesslist = "permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.0.0.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}

// EOF


VPN-Konfiguration Opnsense (Neue GUI)

Code Select Expand


=============================
IPsec -> connection [new]
=============================
General settings:
  - Enabled: yes
  - Proposals: aes256-sha512-modp3072
  - Unique: Replace
  - Aggressive: enabled
  - Version: IKEv1
  - Mobike: disabled
  - Local adresses: <DynDNS of Opnsense>
  - Remote adresses: <DynDNS of Fritzbox>
  - UDP encapsulation: disabled
  - Re-auth time (s): 3600
  - Rekey time (s): <empty>
  - Over time (s): <empty>
  - DPD delay (s): <empty>
  - DPD timeout (s): <empty>
  - Pools: Nothing selected
  - Send cert req. disabled
  - Send certificate: never
  - Keyingtries: 5
  - Description: <User defined name in Opnsense>

Local authentication:
  - Enabled: yes
  - Connection: <Name mentioned in general settings>
  - Round: 0
  - Authentication: Pre-Shared Key
  - Id: <Remote id mentioned in Fritzbox VPN config>
  - Certificates: Nothing selected
  - Description: <User defined description>

Remote authentication:
  - Enabled: yes
  - Connection: <Name mentioned in general settings>
  - Round: 0
  - Authentication: Pre-Shared Key
  - Id: <Local id mentioned in Fritzbox VPN config>
  - Certificates: Nothing selected
  - Description: <User defined description>

Children:
  - Enabled: yes
  - Connection: <Name mentioned in general settings>
  - Mode: Tunnel
  - Policies: enabled
  - Start action: Trap
  - DPD action: Trap
  - ReqId: <empty>
  - ESP proposals: aes256-sha512-modp3072, aes256gcm16-sha256-modp3072
  - Local: 10.0.0.0/8
  - Remote: 192.168.1.0/24
  - Description: <User defined description>

=============================
IPsec -> Preshared Keys
=============================
  - Local identifier: <Id mentioned in General settings -> Local authentication>
  - Remote identifier: <Id mentioned in General settings -> Remote authentication>
  - Pre-Shared Key: <Same key as in Fritzbox VPN config>
  - Type: PSK


Weiterhin ist zu berücksichtigen:

• Der Pre-Shared Key sollte zufällig gewählt und lang sein, jedoch weniger als 128 Zeichen und ohne folgende Zeichen: "\
• IP-Adressbereiche des lokalen und entfernten Netzwerks sind entsprechend den Umgebungsbedingungen anzupassen
• Die Proposals in der VPN-Konfiguration der Fritzbox sind nicht die aktuellsten und sichersten (z.B. 3DES), daher ist es wichtig, dies über die Konfiguration der Opnsense entsprechend zu steuern

Da die möglichen gültigen Werte der VPN-Konfigurationsparameter von der jeweiligen Firmwareversion der Fritzbox abhängen, bietet das Internet weitere Informationen (z.B. hier). Die aktuell neu entwickelten Firmwareversionen der Fritzbox sollen neben Wireguard auch IKEv2 unterstützen. Sofern Du IPsec beibehalten möchtest, ist es in jedem Fall ratsam, zügig auf IKEv2 umzustellen.

Grüße,
Schnipp

[groove21]

Danke für das Teilen.
Es ist wie verhext: Ich habe jetzt wieder das Update gemacht und scheinbar wurde in der letzten Version was gefixt. Alle Verbindungen gingen nach dem Update auf Anhieb mit der alten Config, was vorher nicht der Fall war.

Ich werde aber nach und nach auch auf Strongswan umstellen.

Frage: Hast du schon eine Fritz mit IKEv2 laufen?

[schnipp]

Frage: Hast du schon eine Fritz mit IKEv2 laufen?

Noch nicht, ich muss erst abwarten, bis die finale Firmwareversion für die 7490 den Laborstatus verlässt.